Giełda kryptowalut Poloniex okradziona z części BTC
Jeszcze chyba nigdy w historii sieci niezamówione testy penetracyjne nie były tak opłacalne jak od momentu wzrostu wyceny kryptowalut. Do szybko rosnącej listy poważnych wpadek serwisów działających w tym sektorze dopisujemy giełdę handlująca dziesiątkami walut – Poloniex.com. Właśnie ogłosiła ona, że padła ofiarą niezbyt wyrafinowanego ataku, w którym straciła 12% wszystkich środków z gorącego portfela.
To tylko ok. połowa walut, którymi handluje Poloniex
Tym razem właściciel giełdy sporządził porządną analizę przyczyn kradzieży, za co cześć mu i chwała. Niestety czci nie można mu oddać za zbudowanie mechanizmów giełdy, bo to właśnie podstawowe błędy w konstrukcji mechanizmów wypłaty doprowadziły do wyprowadzenia środków. Okazuje się, że udało mu się stworzyć giełdę, gdzie ujemny bilans rachunku nie jest sygnałem blokującym wypłaty.
Według opisu mechanizm działania wypłat był następujący:
- Weryfikacja danych wejściowych
- Weryfikacja salda – czy umożliwia wypłatę
- Redukcja salda
- Dodanie wypłaty do bazy danych
- Email z potwierdzeniem wypłaty
- Po potwierdzeniu przez użytkownika – proces wypłaty
Złodzieje odkryli podstawowy błąd w procesie – jeśli stworzy się w tym samym momencie kilka poleceń wypłaty, zanim nastąpi redukcja salda, wszystkie polecenia przejdą prawidłowo proces weryfikacji i dodania do bazy danych. Wynikiem procesu jest ujemne saldo, które co ciekawe nie blokuje wypłat z rachunku. Hurra! Tak kończy się równoległe przetwarzanie wypłat.
Najzabawniejszy jest fakt, że w system wbudowane były mechanizmy zapobiegające nadużyciom, które sprawdzały, czy przeprowadzone operacje zgadzają się z faktycznym saldem rachunku. Mechanizmy te zadziałały zgodnie z oczekiwaniami ich twórców – skoro ktoś miał 2 BTC, wypłacił 10, to saldo prawidłowo skazuje -8 BTC i wszystko jest OK! Nic tylko pogratulować. Jedynym plusem jest zadziałanie innego mechanizmu, który w sytuacji nagłego spadku salda portfela giełdy zablokował dalsze wypłaty, ograniczając straty do ok. 76 BTC.
Jak można się spodziewać, właściciel giełdy nie planuje pokryć strat z własnych środków (podobno ich nie posiada w wystarczającej ilości), obiecał za to, że odda stracone fundusze w bliżej nieokreślonej przyszłości – o ile jeszcze ktoś będzie z jego giełdy korzystał.
Podobne wpisy
- Chiński przekręt, czyli czy rozmawiałem z chińską AI?
- Historia kryminalna łącząca BTC, monero, Dasha, NordVPN-a, Tora i pasted.co
- Bitcoiny, giełdy i wycieki, czyli jak znaleziono sprawców ataku na Twittera
- Jak Krzysztof zmanipulował oszustów i odzyskał wyłudzone 20 000 PLN
- Jak ukraść 600 koparek, czyli Iceland Big Bitcoin Heist
Jak patrzę na takie akcje to nie można się oprzeć wrażeniu, że takie furtki są robione specjalnie w celu okradania innych w białych rękawiczkach „bo przecież to był włam”…
dzisiaj znalazłem taki komentarz na mikroblogu wypoku:
„Wszystkie giełdy BTC prowadzą program bug bounty, tylko niektóre jeszcze o tym nie wiedzą.” :)
Nie ma to jak za takie projekty biorą się osoby nie mające w ogóle doświadczenia w progamowaniu, nie mówiąc już o minimalnej dozie wyobraźni.
Może to wynika z faktu, że osoby, które się znają, zdają sobie sprawę, że zrobić bezawaryjny mechanizm nie jest wcale łatwo i Ci odpuszczają…
Idąc tym tropem to osoby, które się znają nie robiły by nic.
*robiłyby
Neidawno przelałem tam środki i nadal nie doszły do skutku na konto. długo czekam… a teraz ta informacja. Co dalej z kasą będzie? będę mógł tam robić przynajmniej coś? Kupować/sprzedawać inne waluty? ;( Na szczęście to tylko 0,035 BTC. :)
Wymieniłem BTC na RIC i wypłaciłem – wszystko działa bez zarzutu. jedynie fee jest troszkę większe. Poza tym to była drobna transakcja!;)